Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO für den Betrieb der Praxishub-Plattform ist:

IntensivKontakt GmbH & Co. KG
Hochmeisterplatz 1, 10709 Berlin
Berlin, Deutschland
E-Mail: datenschutz@intensivkontakt.de
Impressum: impressum.html

Hinweis: Soweit die Praxishub-Plattform von Praxen zur Verwaltung von Patientendaten oder zur Ausgabe von Wallet-Pässen an ihre Patienten genutzt wird, handelt die jeweilige Praxis als eigenverantwortlicher Verantwortlicher für diese Daten. IntensivKontakt GmbH & Co. KG verarbeitet diese Daten dann ausschließlich im Auftrag der Praxis (Auftragsverarbeitung gem. Art. 28 DSGVO).

2. Welche Daten wir verarbeiten

2.1 Nutzerkontodaten (Praxismitarbeiter)

Bei der Registrierung und Nutzung der Plattform verarbeiten wir:

• Vor- und Nachname, E-Mail-Adresse
• Passwort (gespeichert als bcrypt-Hash, nicht im Klartext)
• Rolle innerhalb der Praxis (Inhaber / Admin / Mitarbeiter)
• Zeitpunkt der letzten Anmeldung, Kontostatus (aktiv / verifiziert)

2.2 Praxisdaten (Mandantendaten)

• Name, Adresse, Telefonnummer, Website der Praxis
• Zugangsdaten zu Apple Wallet und Google Wallet (verschlüsselt gespeichert)
• API-Schlüssel zu Drittdiensten wie Brevo (verschlüsselt gespeichert)
• Stripe-Kunden- und Abonnement-ID (für Abrechnungszwecke)
• Kommunikationseinstellungen (Absendername, Buchungslink etc.)

2.3 Wallet-Pass-Inhaberdaten

Für die Ausgabe digitaler Wallet-Pässe (Apple Wallet / Google Wallet) an Patienten oder Kunden der Praxis verarbeiten wir im Auftrag der Praxis:

• E-Mail-Adresse, Telefonnummer, Name, externe Referenz-ID
• Pass-Status, Nutzungsverhalten (Installiert, Zuletzt geöffnet)
• Apple-Geräte-ID und Push-Token (für Aktualisierungsbenachrichtigungen)
• Dynamische Pass-Daten (Stempel, Punkte, individuelle Felder)

2.4 Patientendaten (CRM-Modul)

Bei Nutzung des CRM-Moduls verarbeiten wir im Auftrag der Praxis personenbezogene Patientendaten:

• Name, Geburtsdatum, Geschlecht, Geburtsname, Anrede
• Adresse, E-Mail-Adresse, Telefonnummer(n)
• Termindaten (Datum, Uhrzeit, Terminart, Behandler, aus Doctolib-Import)
• Einwilligungsstatus für E-Mail, WhatsApp und SMS (mit Zeitstempel)
• Recall-Status, Wiedervorlagetermin, Ausschlussgrund
• Kommunikationshistorie (Kanal, Vorlage, Versandzeitpunkt, Zustellstatus)
• Freie Notizen

Diese Daten sind besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO (Gesundheitsdaten). Sie werden ausschließlich auf Weisung der Praxis und im Rahmen des Auftragsverarbeitungsvertrags verarbeitet.

2.5 Nutzungs- und Analysedaten

• Pass-Ereignisse (Erstellt, Installiert, Entfernt, Eingelöst, Push-Versand)
• IP-Adressen werden nur verarbeitet, soweit dies zur Sicherstellung des technischen Betriebs, zur Fehleranalyse oder zur Missbrauchsprävention erforderlich ist
• Zeitstempel der Ereignisse

3. Zwecke der Verarbeitung

• Bereitstellung und Betrieb der Praxishub-Plattform
• Nutzerverwaltung, Authentifizierung und Zugriffskontrolle
• Ausgabe und Verwaltung digitaler Wallet-Pässe (Apple Wallet, Google Wallet)
• Versand von Push-Benachrichtigungen und Engagement-Kampagnen
• CRM-gestützte Patientenansprache und Recall-Kommunikation im Auftrag der Praxis
• Abrechnung über Stripe
• Statistische Auswertungen und Nutzungsanalysen für die Praxis
• Technischer Betrieb, Fehlerdiagnose und Sicherheit der Plattform

4. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: für die Bereitstellung der Plattformleistungen gegenüber der Praxis und ihren Nutzern
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen: für technischen Betrieb, Sicherheit und Missbrauchsprävention
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: soweit gesetzliche Aufbewahrungs- oder Dokumentationspflichten bestehen
• Art. 28 DSGVO – Auftragsverarbeitung: für alle Daten, die die Praxis als Verantwortliche in die Plattform eingibt
• Art. 9 DSGVO – Besondere Kategorien: Rechtsgrundlage wird durch die jeweilige Praxis festgelegt; IntensivKontakt verarbeitet diese Daten ausschließlich im Rahmen von Art. 28 DSGVO auf dokumentierte Weisung der Praxis

5. Weitergabe an Dritte und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, soweit dies zur Leistungserbringung erforderlich ist oder wir gesetzlich dazu verpflichtet sind. Im Rahmen des Betriebs setzen wir folgende Dienstleister ein:

• Apple Inc. – Pass-Updates und Push-Benachrichtigungen (USA; EU-Standardvertragsklauseln)
• Google LLC – Google Wallet-Pässe (USA; EU-Standardvertragsklauseln)
• Brevo (Sendinblue) – E-Mails, SMS und WhatsApp im Auftrag der Praxis (Frankreich/EU)
• Stripe Inc. – Abonnementzahlungen (USA; EU-Standardvertragsklauseln)
• Hetzner Online – Serverbetrieb und Datenbankhosting (Deutschland/EU)

Soweit personenbezogene Daten in die USA übermittelt werden, weisen wir darauf hin, dass dort ein Risiko besteht, dass US-Behörden Zugriff auf die Daten nehmen können. Eine Weitergabe an sonstige Dritte zu Werbezwecken oder ein Verkauf von Daten findet nicht statt.

6. Speicherdauer

• Nutzerkontodaten: Für die Dauer des aktiven Vertragsverhältnisses; nach Kündigung gemäß gesetzlicher Aufbewahrungsfristen
• Wallet-Pass-Daten: Bis zur Löschung des Passes durch die Praxis oder deren Patienten, längstens bis zur Vertragsbeendigung
• CRM-Patientendaten: Gemäß Weisung der Praxis; nach Vertragsende Löschung oder Rückgabe
• Analysedaten: Bis zu 24 Monate, danach anonymisiert oder gelöscht
• Server-Logs: Bis zu 30 Tage

7. Technische und organisatorische Maßnahmen

• Transportverschlüsselung (HTTPS/TLS) für alle Verbindungen
• Passwortspeicherung ausschließlich als bcrypt-Hash
• Verschlüsselung sensibler Credentials mit AES-128 (Fernet)
• JWT-basierte Authentifizierung mit kurzlebigen Tokens
• Rollenbasierte Zugriffskontrolle (RBAC) innerhalb jeder Praxis
• Mandantentrennung: Jede Praxis sieht ausschließlich ihre eigenen Daten
• Rate-Limiting auf Authentifizierungsendpunkten

8. Ihre Rechte als betroffene Person

Soweit IntensivKontakt GmbH & Co. KG als Verantwortlicher für Ihre Daten handelt, stehen Ihnen folgende Rechte zu:

• Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18)
• Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21)
• Beschwerde bei der zuständigen Aufsichtsbehörde (Berliner Beauftragte für Datenschutz und Informationsfreiheit)

Für Patientendaten, die die Praxis als Verantwortliche eingibt, richten Sie Ihre Anfragen bitte direkt an die betreffende Praxis.

Anfragen an den Verantwortlichen und an den externen Datenschutzbeauftragten: datenschutz@intensivkontakt.de

9. Cookies und lokale Speicherung

Die Praxishub-Plattform verwendet keine Tracking- oder Werbe-Cookies. Zur Aufrechterhaltung der Anmeldesitzung werden ausschließlich technisch notwendige JWT-Token eingesetzt. Diese werden im lokalen Speicher des Browsers abgelegt. Es werden keine Daten an Werbenetzwerke übermittelt.

Auf dieser Marketing-Website speichern wir Ihre Cookie-Einstellungen in localStorage, soweit Sie diese festlegen.

10. Kontakt und Datenschutzbeauftragter

Verantwortlicher
IntensivKontakt GmbH & Co. KG, Hochmeisterplatz 1, 10709 Berlin, Deutschland
E-Mail: datenschutz@intensivkontakt.de

Datenschutzbeauftragter (extern)
Qualitybase GmbH, Armin und Sabine Schaub, Weinleite 14, 92348 Berg bei Neumarkt in der Oberpfalz, Deutschland
E-Mail: datenschutz@intensivkontakt.de

11. Praxishub Doctolib Sync – Chrome Extension

Ergänzung zur Datenschutzerklärung · Stand: März 2026

11.1 Welche Daten werden verarbeitet?

• Zugangsdaten: E-Mail, Passwort und TOTP-Secret für Doctolib sowie der Praxishub API-Token werden ausschließlich lokal im Browser über chrome.storage.local gespeichert.
• Terminhistorie: Die von Doctolib exportierte CSV-Datei enthält Termindaten der Praxis und wird ausschließlich an die Praxishub-Plattform übertragen.

11.2 Zweck

Automatisierter Export der Terminhistorie aus Doctolib und Übertragung an die Praxishub-Plattform.

11.3 Datenweitergabe

Die Zugangsdaten verlassen das Gerät der Praxis nicht. Die CSV-Datei wird ausschließlich an api.praxishub.ai übertragen.

11.4 Speicherdauer

Zugangsdaten werden lokal gespeichert, bis die Extension deinstalliert oder die Daten manuell gelöscht werden. CSV-Daten werden nach der Übertragung nicht lokal gespeichert.

11.5 Rechtsgrundlage

Lokale Speicherung in der Extension: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Übermittlung an die Plattform: Art. 28 DSGVO (Auftragsverarbeitung).

11.6 Betroffenenrechte

Anfragen an: datenschutz@intensivkontakt.de